[go: up one dir, main page]

JP2005341084A - Vpn system, remote terminal, and remote access communication method used for vpn system and remote terminal - Google Patents

Vpn system, remote terminal, and remote access communication method used for vpn system and remote terminal Download PDF

Info

Publication number
JP2005341084A
JP2005341084A JP2004155542A JP2004155542A JP2005341084A JP 2005341084 A JP2005341084 A JP 2005341084A JP 2004155542 A JP2004155542 A JP 2004155542A JP 2004155542 A JP2004155542 A JP 2004155542A JP 2005341084 A JP2005341084 A JP 2005341084A
Authority
JP
Japan
Prior art keywords
network
closed
address
remote terminal
vpn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004155542A
Other languages
Japanese (ja)
Inventor
Satoru Ejiri
悟 江尻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004155542A priority Critical patent/JP2005341084A/en
Priority to GB0510386A priority patent/GB2414642A/en
Priority to US11/136,380 priority patent/US20050265366A1/en
Priority to CNA2005100720427A priority patent/CN1703047A/en
Publication of JP2005341084A publication Critical patent/JP2005341084A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a VPN system capable of realizing automatic configuration for dedicated IP equipment. <P>SOLUTION: In phase #1 communication, authentication communication is performed via IKE SA (a4-a7) before IKE SA communication is established (a1-a3), and an IP address and configuration data in the closed IP network of the remote access destination of a remote terminal are payed off to the remote terminal (a8-a11). In the paying-off process of a parameter, BGW(2) authenticates identity at the user level of the remote terminal, thus specifying the user on the remote terminal, and acquiring the IP address and configuration data in the closed IP network of the remote terminal from a configuration data management server. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明はVPNシステム、境界ゲートウェイ及びそれらに用いるリモートアクセス通信方法に関し、特にIP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)に関する。   The present invention relates to a VPN system, a border gateway, and a remote access communication method used therefor, and in particular, a remote access IPsec VPN (Virtual Protocol) in which an ESP (Encapsulating Security Payload) tunnel technology of IPsec (IP security protocol) is applied to an IP (Internet Protocol) tunnel technology. Private Network).

この種のリモートアクセスIPsecVPNにおいては、リモート端末が汎用のPC(Personal Computer)ではなく、ある決められた処理を専門に行う専用IP機器の場合がある(例えば、特許文献1参照)。   In this type of remote access IPsec VPN, the remote terminal may not be a general-purpose PC (Personal Computer), but may be a dedicated IP device that specializes in certain predetermined processing (see, for example, Patent Document 1).

上記のシステム構成では、
(1)リモート端末のリモートアクセス先の閉域IP網内IPアドレスを、センタ局舎内から動的に払い出して一括管理することによって、遠隔からの設定管理することが好ましいので、閉域IP網内のアドレス管理サーバがIPトンネルを介して閉域IP網内IPアドレスを払い出す必要がある。
(2)リモート端末上のユーザのコンフィグデータが自動的に払い出されて設定されるのが好ましい。
(3)各LAN(Local Area Network)上のLAN IPアドレスは動的に変更されるのが一般的であり、その変更に伴うIPトンネルの自動設定変更が必要である。
という3つの問題点がある。 In the above system configuration,
(1) It is preferable to manage settings remotely from the remote IP address in the closed IP network by dynamically issuing and collectively managing the IP address in the closed IP network from the center station. The address management server needs to pay out the IP address in the closed IP network via the IP tunnel.
(2) It is preferable that user configuration data on the remote terminal is automatically issued and set.
(3) Generally, the LAN IP address on each LAN (Local Area Network) is dynamically changed, and the automatic setting change of the IP tunnel is required in accordance with the change.
There are three problems.

特開2002−208965号公報JP 2002-208965 A

リモート端末が汎用のPCではなく、ある決められた処理を専門に行う専用IP機器である場合には、ユーザが常に機器を操作する状況にないと考えられるので、リモートアクセス起動時、自動的にコンフィグデータが設定されることが望ましい。   If the remote terminal is not a general-purpose PC but a dedicated IP device that specializes in certain processing, it is considered that the user is not always in a situation of operating the device. It is desirable to set configuration data.

しかしながら、リモート端末からリモートアクセス先の閉域IP網にIPsecを使用したアクセスをする場合においては、リモート端末の認証、リモート端末を使用するユーザの認証、及びリモートアクセス通信でやり取りされるデータに対するセキュリティが考慮されているのみであり、コンフィグ設定は手動で設定されるのが一般的である。現在、この専用IP機器のための自動コンフィグの実現が課題となっている。   However, in the case of accessing from a remote terminal to a closed IP network of a remote access destination using IPsec, there is security for data exchanged by remote terminal authentication, user authentication using the remote terminal, and remote access communication. It is only taken into account, and the configuration settings are generally set manually. Currently, the realization of an automatic configuration for this dedicated IP device is an issue.

そこで、本発明の目的は上記の問題点を解消し、専用IP機器のための自動コンフィグを実現することができるVPNシステム、リモート端末及びそれらに用いるリモートアクセス通信方法を提供することにある。   Therefore, an object of the present invention is to provide a VPN system, a remote terminal, and a remote access communication method used for them that can solve the above-described problems and can realize automatic configuration for a dedicated IP device.

本発明によるVPNシステムは、IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)を用いるVPNシステムであって、
リモート端末がリモートアクセス先の閉域IP(Internet Protocol)網内のノードと通信を行う際に前記閉域IP網内の境界ゲートウェイとの間で前記リモートアクセスIPsecVPN接続を行う手段を前記リモート端末に備え、前記リモート端末と前記閉域IP網内のノードとが仮想的に同じセグメント内に接続している。 The VPN system according to the present invention is a VPN using a remote access IPsec VPN (Virtual Private Network) in which an ESP (Encapsulating Security Payload) tunnel technology of IPsec (IP security protocol) is applied to an IP (Internet Protocol) tunnel technology.
The remote terminal comprises means for performing the remote access IPsec VPN connection with a boundary gateway in the closed IP network when the remote terminal communicates with a node in a closed IP (Internet Protocol) network of a remote access destination, The remote terminal and a node in the closed IP network are virtually connected in the same segment.

本発明によるリモート端末は、IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)を用いるVPNシステムを構成するリモート端末であって、
リモートアクセス先の閉域IP(Internet Protocol)網内のノードと通信を行う際に前記閉域IP網内の境界ゲートウェイとの間で前記リモートアクセスIPsecVPN接続を行う手段を備え、前記閉域IP網内のノードと仮想的に同じセグメント内に接続している。 The remote terminal according to the present invention employs a remote access IPsec VPN (Virtual Private Network) using a remote access IPsec VPN (Virtual Private Network) in which an ESP (Encapsulating Security Payload) tunnel technology of IPsec (IP security protocol) is applied to an IP (Internet Protocol) tunnel technology. Because
Means for establishing a remote access IPsec VPN connection with a border gateway in the closed IP network when communicating with a node in a closed IP (Internet Protocol) network of a remote access destination; and a node in the closed IP network Are virtually connected in the same segment.

本発明によるリモートアクセス通信方法は、IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)を用いるVPNシステムに用いるリモートアクセス通信方法であって、
リモート端末側に、前記リモート端末がリモートアクセス先の閉域IP(Internet Protocol)網内のノードと通信を行う際に前記閉域IP網内の境界ゲートウェイとの間で前記リモートアクセスIPsecVPN接続を行う処理を備え、前記リモート端末と前記閉域IP網内のノードとが仮想的に同じセグメント内に接続している。 The remote access communication method according to the present invention uses a remote access IPsec VPN (Virtual Private Network) using a remote access IPsec VPN (Virtual Private Network) in which an ESP (Encapsulating Security Payload) tunnel technology of IPsec (IP security protocol) is applied to an IP (Internet Protocol) tunnel technology. An access communication method,
When the remote terminal communicates with a node in a closed IP (Internet Protocol) network as a remote access destination on the remote terminal side, processing for performing the remote access IPsec VPN connection with a boundary gateway in the closed IP network The remote terminal and the node in the closed IP network are virtually connected in the same segment.

すなわち、本発明のVPNシステムは、IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)システムであって、あるローカルIP網に位置する端末が、ある閉域IP網に対して、当該閉域IP網内IPアドレス体系にしたがうリモート端末用アドレス(以下、閉域IP網内IPアドレスとする)を保存することなしに、リモートアクセスを可能としている。   In other words, the VPN system of the present invention is a remote access IPsec VPN (Virtual Private Network) system in which an ESP (Encapsulating Security Payload) tunnel technology of IPsec (IP security protocol) is applied to an IP (Internet Protocol) tunnel technology. A terminal located in the IP network can remotely access a certain closed IP network without storing a remote terminal address according to the IP address system in the closed IP network (hereinafter referred to as an IP address in the closed IP network). Access is possible.

本発明のVPNシステムでは、IPsecのISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションメソッドを適用することによって、リモートアクセス先の閉域IP網内IPアドレスの自動払い出しを実現することを特徴としている。   The VPN system of the present invention is characterized in that automatic delivery of an IP address in a closed IP network of a remote access destination is realized by applying an IPsec ISAKMP (Internet Security Association & Key Management Protocol) configuration method.

同時に、本発明のVPNシステムでは、ISAKMPコンフィグレーションメソッドに、ユーザの認証処理、またその認証に依存してユーザが任意に定義できるコンフィグ情報を要求/応答することができる仕組みを持たせ、リモート端末のユーザ単位の自動払い出し/設定を可能としていることを特徴としている。   At the same time, in the VPN system of the present invention, the ISAKMP configuration method is provided with a mechanism for requesting / responseing user authentication processing and configuration information that can be arbitrarily defined by the user depending on the authentication. The feature is that automatic payout / setting for each user is possible.

さらに、本発明のVPNシステムでは、IPsecのリモートアクセス機能を適用することによって、ローカルIP網で付与されるIPアドレスの変更に伴い、動的にトンネル設定変更を可能としていることを特徴としている。   Furthermore, the VPN system of the present invention is characterized in that the tunnel setting can be dynamically changed with the change of the IP address assigned in the local IP network by applying the remote access function of IPsec.

より具体的に説明すると、本発明のVPNシステムは、リモートアクセスIPsecVPNシステムであり、リモート端末がローカルIP網LAN(Local Area Network)に位置し、リモートアクセス先の閉域IP網LANが比較的遠くに離れており、その間がIP−VPNサービス、広域イーサネット(登録商標)等のIP公衆網で接続されている。各LANとIP公衆網とにはBGW(Border GateWay)がそれぞれ設置され、それらのBGWは相互に接続されている。   More specifically, the VPN system of the present invention is a remote access IPsec VPN system in which a remote terminal is located in a local IP network LAN (Local Area Network) and a remote IP network LAN is relatively far away. They are separated from each other and are connected by an IP public network such as an IP-VPN service and a wide area Ethernet (registered trademark). BGW (Border Gateway) is installed in each LAN and IP public network, and these BGWs are connected to each other.

本発明のVPNシステムでは、リモート端末をリモートホストとし、BGWとの間をIPsecVPN接続する際に、その接続過程のメッセージ通信に、ISAKMPコンフィグレーションメッソッドを導入している。   In the VPN system of the present invention, when a remote terminal is used as a remote host and an IPsec VPN connection is established with a BGW, an ISAKMP configuration method is introduced for message communication in the connection process.

また、本発明のVPNシステムでは、ISAKMPコンフィグレーションメソッドを使用し、VPNアドレスとして閉域IP網内の固有IPアドレス、またプライベートデータとしてコンフィグデータを払い出すことによって、リモート端末の閉域IP網内のIPアドレス及びコンフィグデータをリモート端末に動的に払い出すことが可能となる。   Further, in the VPN system of the present invention, by using the ISAKMP configuration method, the IP address in the closed IP network of the remote terminal is issued by issuing the unique IP address in the closed IP network as the VPN address and the configuration data as the private data. It is possible to dynamically issue the address and configuration data to the remote terminal.

同時に、本発明のVPNシステムでは、その閉域IP網内IPアドレス及びコンフィグデータに対して、IPsecプロトコルの暗号・認証アルゴリズムによってセキュリティを確保することが可能である。   At the same time, in the VPN system of the present invention, security can be ensured for the IP address and configuration data in the closed IP network by the encryption / authentication algorithm of the IPsec protocol.

これによって、本発明のVPNシステムでは、リモート端末上のユーザにセキュリティを確保しつつ、対応するコンフィグデータを遠隔設定することが可能となる。   Thus, in the VPN system of the present invention, it is possible to remotely set the corresponding configuration data while ensuring security for the user on the remote terminal.

また、本発明のVPNシステムでは、リモート端末上のユーザのコンフィグデータ、閉域IP網内IPアドレスを自動的に設定することが可能であり、LAN用IPアドレスが動的な払い出しによって変化しても、それに伴うIPトンネルの自動設定変更が可能である。   Further, in the VPN system of the present invention, it is possible to automatically set user configuration data on the remote terminal and IP address in the closed IP network, even if the LAN IP address changes due to dynamic payout. Accordingly, the automatic setting change of the IP tunnel can be performed.

さらに、本発明のVPNシステムでは、リモート端末のプラグ&プレイが可能となるので、手動で行うコンフィグ設定と比較して、設定作業工数を削除することが可能で、また設定誤りも少なくなる。   Further, in the VPN system of the present invention, remote terminals can be plugged and played, so that setting man-hours can be deleted and setting errors can be reduced as compared with configuration settings performed manually.

さらにまた、本発明のVPNシステムでは、BGWにアドレス変換処理を入れることなく、リモート端末、コンフィグデータ管理サーバ、BGWを仮想的に同じセグメントに接続することが可能となる。よって、本発明のVPNシステムでは、専用IP機器のための自動コンフィグを実現することが可能となる。   Furthermore, in the VPN system of the present invention, it is possible to virtually connect a remote terminal, a configuration data management server, and a BGW to the same segment without performing an address conversion process on the BGW. Therefore, in the VPN system of the present invention, it is possible to realize automatic configuration for dedicated IP devices.

本発明は、以下に述べるような構成及び動作とすることで、専用IP機器のための自動コンフィグを実現することができるという効果が得られる。   According to the present invention, an automatic configuration for a dedicated IP device can be realized by adopting the configuration and operation described below.

次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるVPN(Virtual Private Network)システムの構成を示すブロック図である。図1において、本発明の一実施例によるVPNシステムは、IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPNシステムである。   Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration of a VPN (Virtual Private Network) system according to an embodiment of the present invention. In FIG. 1, a VPN system according to an embodiment of the present invention is a remote access IPsec VPN system in which an ESP (Encapsulating Security Payload) tunnel technology of IPsec (IP security protocol) is applied to an IP (Internet Protocol) tunnel technology.

本発明の一実施例によるVPNシステムは、リモート端末1と、BGW(Border GateWay)(1)2と、センタ管理局3と、ローカルIP網LAN(A)100と、IP公衆網101とから構成されており、リモート端末1とセンタ管理局3との間にはIPトンネル102が設置されている。センタ管理局3は閉域IP網LAN(B)300にそれぞれ接続されるBGW(2)31と、コンフィグデータ管理サーバ32とから構成されている。   A VPN system according to an embodiment of the present invention includes a remote terminal 1, a BGW (Border Gateway) (1) 2, a center management station 3, a local IP network LAN (A) 100, and an IP public network 101. An IP tunnel 102 is installed between the remote terminal 1 and the center management station 3. The center management station 3 includes a BGW (2) 31 and a configuration data management server 32 connected to the closed IP network LAN (B) 300, respectively.

リモート端末1はローカルIP網LAN(A)100に接続され、リモートアクセス先の閉域IP網LAN(B)300は比較的遠くに離れており、その間はIP−VPNサービス、広域イーサネット(登録商標)等のIP公衆網101で接続される。各LANとIP公衆網101とには、それそれBGW(1)2とBGW(2)31とが設置され、それらは相互に接続されている。   The remote terminal 1 is connected to the local IP network LAN (A) 100, and the remote access destination closed IP network LAN (B) 300 is relatively far away, during which the IP-VPN service and wide area Ethernet (registered trademark) Or the like via an IP public network 101. Each LAN and IP public network 101 are provided with BGW (1) 2 and BGW (2) 31, respectively, which are connected to each other.

図2は本発明の一実施例によるVPNシステムの動作を示すシーケンスチャートである。図2には、リモートアクセス時のリモート端末1、BGW(2)31、及びコンフィグデータ管理サーバ32の間のメッセージシーケンスを示しており、リモート端末1をリモートホストとして、BGW(2)31との間をIPsecVPN接続する過程を示している。   FIG. 2 is a sequence chart showing the operation of the VPN system according to one embodiment of the present invention. FIG. 2 shows a message sequence between the remote terminal 1, the BGW (2) 31, and the configuration data management server 32 at the time of remote access. The remote terminal 1 is used as a remote host and communicates with the BGW (2) 31. The process of IPsec VPN connection is shown.

接続過程のメッセージa10,a11の通信には、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションメソッドを導入している。   An ISAKMP (Internet Security Association & Key Management Protocol) configuration method is introduced for communication of messages a10 and a11 in the connection process.

本実施例では、ISAKMPコンフィグレーションメソッドを使用して、VPNアドレスとして閉域IP網LAN(B)300内の固有IPアドレス、プライベートデータとしてコンフィグデータを払い出すことによって、リモート端末1の閉域IP網LAN(B)300内のIPアドレス及びコンフィグデータをリモート端末1に動的に払い出すことが可能となる。同時に、その閉域IP網LAN(B)300内のIPアドレス及びコンフィグデータは、IPsecプロトコルの暗号・認証アルゴリズムによってセキュリティを確保することが可能である。   In the present embodiment, by using the ISAKMP configuration method, a unique IP address in the closed IP network LAN (B) 300 is issued as a VPN address, and configuration data is sent out as private data. (B) The IP address and configuration data in 300 can be dynamically issued to the remote terminal 1. At the same time, the IP address and configuration data in the closed IP network LAN (B) 300 can be secured by the encryption / authentication algorithm of the IPsec protocol.

一般に、リモート端末1が設置されるローカルIP網LAN(A)100とコンフィグデータ管理サーバ32が設置される閉域IP網LAN(B)300とは比較的遠くに離れており、その間はIP−VPN、広域イーサネット(登録商標)サービス等のIP公衆網101で接続されている。   In general, the local IP network LAN (A) 100 in which the remote terminal 1 is installed and the closed IP network LAN (B) 300 in which the configuration data management server 32 is installed are relatively distant from each other. And an IP public network 101 such as a wide area Ethernet (registered trademark) service.

各LANとIP公衆網101との間には、BGW(1)2及びBGW(2)31が設置され、それらが相互に接続されている。IP公衆網101はオープンネットワークのため、セキュリティ上の問題(脅威)が発生しやすい。   BGW (1) 2 and BGW (2) 31 are installed between each LAN and the IP public network 101, and they are connected to each other. Since the IP public network 101 is an open network, security problems (threats) are likely to occur.

本発明のリモートアクセスIPsecVPNシステムにおいて、コンフィグデータ管理サーバ32が設置される閉域IP網LAN(B)300は、一般的に、センタ管理局3内に設置されるので、セキュリティが確保されている。しかしながら、ローカルIP網LAN(A)100とIP公衆網101とに対してはセキュリティを確保しなければならない。   In the remote access IPsec VPN system of the present invention, the closed IP network LAN (B) 300 in which the configuration data management server 32 is installed is generally installed in the center management station 3, so that security is ensured. However, security must be ensured for the local IP network LAN (A) 100 and the IP public network 101.

本発明では、リモート端末1がリモートホストとしてBGW(2)31との間に、IPsecESPトンネルモードを設定し、セキュリティ上の脅威を排除している。リモート端末1がセンタ管理局3内のBGW(2)31とIPsecSAを確立する過程を図2に示す。   In the present invention, an IPsec ESP tunnel mode is set between the remote terminal 1 and the BGW (2) 31 as a remote host to eliminate security threats. A process in which the remote terminal 1 establishes IPsec SA with the BGW (2) 31 in the center management station 3 is shown in FIG.

フェーズ#1通信で、IKE SA(Internet Key Exchange Security Association)通信確立後(図2のa1〜a3)、IKE SA上を経由して認証通信を行い(図2のa4〜a7)、リモート端末1のリモートアクセス先の閉域IP網LAN(B)300内のIPアドレス及びコンフィグデータを、リモート端末1へ払い出す(図2のa8〜a11)。これによって、本実施例では、リモート端末1の自動コンフィグが可能となる。   In phase # 1 communication, after establishing IKE SA (Internet Key Exchange Association) communication (a1 to a3 in FIG. 2), authentication communication is performed via IKE SA (a4 to a7 in FIG. 2), and remote terminal 1 The remote access destination IP address and configuration data in the closed IP network LAN (B) 300 of the remote access destination are issued to the remote terminal 1 (a8 to a11 in FIG. 2). As a result, in this embodiment, automatic configuration of the remote terminal 1 becomes possible.

上記のパラメータの払い出し過程において、BGW(2)31はリモート端末1のユーザレベルでの本人性(リモート端末1の機器ではなく、それを使用するユーザ)認証を行うことによって、リモート端末1上のユーザを特定し、コンフィグデータ取得通信にて、リモート端末1の閉域IP網LAN(B)300内のIPアドレス及びコンフィグデータをコンフィグデータ管理サーバ32から取得する。   In the parameter delivery process, the BGW (2) 31 authenticates the user at the user level of the remote terminal 1 (not the device of the remote terminal 1, but the user who uses it), thereby performing authentication on the remote terminal 1. The user is specified, and the IP address and configuration data in the closed IP network LAN (B) 300 of the remote terminal 1 are acquired from the configuration data management server 32 by configuration data acquisition communication.

リモート端末1に配布する閉域IP網LAN(B)300内のIPアドレスは、閉域IP網LAN(B)300上のアドレス体系にしたがう。これによって、BGW(2)31にはNAT(Network Address Translation)等のアドレス変換処理が不要となり、コンフィグデータ管理サーバ32、BGW(2)31、リモート端末1はそれぞれ仮想的に同じセグメントに接続されているように扱うことが可能となる。   The IP address in the closed IP network LAN (B) 300 distributed to the remote terminal 1 follows the address system on the closed IP network LAN (B) 300. This eliminates the need for address conversion processing such as NAT (Network Address Translation) in the BGW (2) 31, and the configuration data management server 32, the BGW (2) 31, and the remote terminal 1 are each virtually connected to the same segment. It becomes possible to handle as if.

また、リモート端末1はホストとしてBGW(2)31にIPsec接続するので、IPsecのリモートアクセス接続機能によって、リモート端末1のローカルIP網LAN(A)100用のIPアドレスを、DHCP(Dynamic Host Configuration Protocol)等で動的に付与することが可能である。   Further, since the remote terminal 1 is IPsec-connected to the BGW (2) 31 as a host, the IP address for the local IP network LAN (A) 100 of the remote terminal 1 is set to DHCP (Dynamic Host Configuration) by the IPsec remote access connection function. (Protocol) or the like.

フェーズ#1通信後、上記のIKE SA上で行われる認証通信及びコンフィグデータの払い出し通信は、IPsecのISAKMPコンフィギュレーションメソッドにしたがって行われる。   After the phase # 1 communication, the authentication communication and the configuration data payout communication performed on the IKE SA are performed according to the IPsec ISAKMP configuration method.

図3(a)には、ISAKMPコンフィギュレーションメソッドで用いるISAKMPパケットのデータフォーマットを示している。ISAKMPペイロードにはコンフィグレーションメソッド・ペイロードが使用され、そのフォーマットを図3(b)に示す。   FIG. 3A shows the data format of the ISAKMP packet used in the ISAKMP configuration method. A configuration method payload is used for the ISAKMP payload, and its format is shown in FIG.

認証通信の場合、Attributsに認証に関連する属性を設定し、コンフィグデータ払い出し通信の場合には、図3(c)に示すように、VPNアドレス属性、また、その後にプライベートデータ属性をそれぞれ設定する。このVPNアドレスに閉域IP網LAN(B)300内のIPアドレス及びコンフィグデータの払い出しを可能とする。   In the case of authentication communication, an attribute related to authentication is set in Attributes, and in the case of configuration data payout communication, a VPN address attribute and a private data attribute are set thereafter as shown in FIG. . The IP address and configuration data in the closed IP network LAN (B) 300 can be issued to this VPN address.

ISAKMPコンフィグレーションメソッドは、IKE通信と同じく、メッセージをやり取りする始動者(イニシエータ)と、それに対して応答する応答者(レスポンダ)とによって行われる。本実施例では、BGW(2)31がイニシエータ、リモート端末1がレスポンダとなり、メッセージ交換を行う。図2に示すシーケンスにおいて、各メッセージ種別は、図3(b)に示すコンフィグレーション・ペイロードのTypeフィールドの値で識別する。   The ISAKMP configuration method is performed by an initiator (initiator) that exchanges messages and a responder (responder) that responds to the message, as in IKE communication. In this embodiment, BGW (2) 31 is an initiator and remote terminal 1 is a responder to exchange messages. In the sequence shown in FIG. 2, each message type is identified by the value of the Type field of the configuration payload shown in FIG.

図4は本発明の一実施例による具体的なIPアドレスを付与したシステム構成を示す図である。図4において、IPsecのESP(Encapsulating Security Payload)トンネルを設定するには、トンネルを終端するアドレスと、そのトンネル内のIP通信に使用するトンネルインタフェースのIPアドレスとが必要である。   FIG. 4 is a diagram showing a system configuration to which a specific IP address is assigned according to an embodiment of the present invention. In FIG. 4, in order to set an IPsec ESP (Encapsulating Security Payload) tunnel, an address for terminating the tunnel and an IP address of a tunnel interface used for IP communication in the tunnel are required.

リモート端末1のトンネル終端アドレス、トンネルインタフェースアドレスを、各々Ca1,Ca2とする。また、BGW(2)31のトンネル終端アドレス、トンネルインタフェースアドレスを、各々Sa1,Sa2とする。さらに、ローカルIP網LAN(A)100のネットワークアドレスをNaAとし、閉域IP網LAN(B)300のネットワークアドレスをNaBとする。   The tunnel terminal address and the tunnel interface address of the remote terminal 1 are assumed to be Ca1 and Ca2, respectively. Further, the tunnel termination address and tunnel interface address of the BGW (2) 31 are Sa1 and Sa2, respectively. Further, the network address of the local IP network LAN (A) 100 is NaA, and the network address of the closed IP network LAN (B) 300 is NaB.

また、リモート端末1の閉域IP網LAN(B)300内のIPアドレス、コンフィグデータはリモート端末1を配下にもつコンフィグデータ管理サーバ32が保持するものとする。   The IP address and configuration data in the closed IP network LAN (B) 300 of the remote terminal 1 are held by the configuration data management server 32 having the remote terminal 1 under control.

この時、IPsecのESPトンネルを設定するために、リモート端末1とBGW(2)31とに設定を要するパラメータを図5に示す。本実施例では、リモート接続機能を適用し、図2のフェーズ#1通信(a1〜a3)は、アグレッシブモードで行うので、IDによってPre−Shared Keyを特定する。したがって、項番C1,S1に示すように、自IDと相手IDとの組み合わせに対してPre−Shared Keyの登録が必要である。   FIG. 5 shows parameters that need to be set in the remote terminal 1 and the BGW (2) 31 in order to set an IPsec ESP tunnel at this time. In the present embodiment, the remote connection function is applied, and the phase # 1 communication (a1 to a3) in FIG. 2 is performed in the aggressive mode, so the Pre-Shared Key is specified by the ID. Therefore, as shown in the item numbers C1 and S1, it is necessary to register the Pre-Shared Key for the combination of the self ID and the partner ID.

また、項番C2,S2に示すように、ESP暗号化アルゴリズム、AH(Authentication Header)認証アルゴリズム、DH(Dynamic Host)グループ等のパラメータを双方で合わせて登録する必要がある。   Further, as shown in the item numbers C2 and S2, it is necessary to register parameters such as an ESP encryption algorithm, an AH (Authentication Header) authentication algorithm, and a DH (Dynamic Host) group together.

トンネルに関するパラメータとして、項番C3,C4に示すように、そのトンネルを終端する双方のIPアドレス(始点アドレスCa1及び終点アドレスSa1)を、項番S3,S4に示すように、そのトンネルを終端する双方のIPアドレス(始点アドレスSa1及び終点アドレスCa1)をそれぞれ登録する必要がある。   As parameters related to the tunnel, both IP addresses (start address Ca1 and end address Sa1) that terminate the tunnel are terminated as indicated by item numbers C3 and C4, and the tunnel is terminated as indicated by items S3 and S4. Both IP addresses (start point address Sa1 and end point address Ca1) need to be registered.

また、項番C5,S5に示すように、自ノードのトンネルインタフェースのIPアドレス(Ca2,Sa2)を登録する必要がある。IPsec処理を施す対象パケットを特定するため、項番C6,S6に示すようにセキュリティポリシー(Ca2→NaB,NaB→Ca2)を登録する必要がある。   Further, as shown in the item numbers C5 and S5, it is necessary to register the IP address (Ca2, Sa2) of the tunnel interface of the own node. In order to specify the target packet to be subjected to IPsec processing, it is necessary to register the security policy (Ca2 → NaB, NaB → Ca2) as shown in the item numbers C6 and S6.

リモート端末1の起動直後は、項番S3,S4,C5,C6,S6は登録されていない。起動直後、動的に「Ca1」がリモート端末1に払い出され、項番S3が登録される。その後、フェーズ#1通信のメッセージa1が、BGW(2)31に受信され、項番S4の登録がされる。   Immediately after the remote terminal 1 is activated, the item numbers S3, S4, C5, C6, and S6 are not registered. Immediately after activation, “Ca1” is dynamically issued to the remote terminal 1 and the item number S3 is registered. Thereafter, the message a1 of the phase # 1 communication is received by the BGW (2) 31 and the item number S4 is registered.

その際、メインモードであれば、双方のトンネル終端アドレスによってPre−Shared−Keyが特定されるので、項番S3は予め登録されなければならないが、アグレッシブモードによって、予め項番S3の登録は不要である。   At this time, in the main mode, the Pre-Shared-Key is specified by both tunnel end addresses, so the item number S3 must be registered in advance, but the aggressive mode does not require registration of the item number S3 in advance. It is.

次に、認証通信(a4〜a7)で、BGW(2)31がリモート端末1上のユーザを特定し、コンフィグデータ取得通信(a8,a9)で、リモート端末1を配下に持つコンフィグデータ管理サーバ32に、リモート端末1の閉域IP網LAN(B)300内のIPアドレスとコンフィグデータとを問い合わせる。   Next, in the authentication communication (a4 to a7), the BGW (2) 31 identifies the user on the remote terminal 1, and in the configuration data acquisition communication (a8, a9), the configuration data management server having the remote terminal 1 under its control. 32 is inquired about the IP address and configuration data in the closed IP network LAN (B) 300 of the remote terminal 1.

取得後、コンフィグデータ配布通信(a10,a11)で、リモート端末1へ閉域IP網LAN(B)300内のIPアドレスとコンフィグデータとを配布する。この際、その閉域IP網LAN(B)300内のIPアドレスは、リモート端末1のトンネルインタフェースアドレスCa2となるので、項番C5,C6,S6が登録される。この段階では、ISAKMP SA上の通信なので、トンネルインタフェースアドレス、すなわち閉域IP網LAN(B)300内のIPアドレスは不要なので、正常に通信が行うことが可能である。   After the acquisition, the IP address and the configuration data in the closed IP network LAN (B) 300 are distributed to the remote terminal 1 by the configuration data distribution communication (a10, a11). At this time, since the IP address in the closed IP network LAN (B) 300 becomes the tunnel interface address Ca2 of the remote terminal 1, the item numbers C5, C6 and S6 are registered. At this stage, since the communication is based on ISAKMP SA, the tunnel interface address, that is, the IP address in the closed IP network LAN (B) 300 is unnecessary, so that communication can be performed normally.

その後、フェーズ#2通信によって、IPsecSAが結ばれ、IPsecESPトンネルによる通信が開始される。この段階では、図5に示すパラメータがすべて登録されているので、正常に通信を行うことが可能となる。   Thereafter, IPsec SA is connected by phase # 2 communication, and communication by the IPsec ESP tunnel is started. At this stage, since all the parameters shown in FIG. 5 are registered, normal communication can be performed.

このように、本実施例では、リモート端末1上のユーザに、セキュリティを確保しつつ、対応するコンフィグデータを遠隔設定することが可能となる。   Thus, in this embodiment, it is possible to remotely set the corresponding configuration data for the user on the remote terminal 1 while ensuring security.

また、本実施例では、リモート端末1上のユーザのコンフィグデータ、閉域IP網LAN(B)300内のIPアドレスを自動的に設定することが可能であり、ローカルIP網LAN(A)100用のIPアドレスが動的な払い出しによって変化しても、それに伴うIPトンネルの自動設定変更が可能となり、リモート端末1のプラグ&プレイが可能となるので、手動で行うコンフィグ設定と比較して、設定作業工数を削除することができ、また設定誤りも少なくなる。   In this embodiment, the user's configuration data on the remote terminal 1 and the IP address in the closed IP network LAN (B) 300 can be automatically set for the local IP network LAN (A) 100. Even if the IP address of the machine changes due to dynamic payout, it is possible to change the automatic setting of the IP tunnel associated therewith, and plug and play of the remote terminal 1 becomes possible. Work man-hours can be deleted and setting errors are reduced.

さらに、本実施例では、BGW(2)31にアドレス変換処理を入れることなく、リモート端末1、コンフィグデータ管理サーバ32、BGW(1)2及びBGW(2)31を仮想的に、同じセグメントに接続することが可能である。   Further, in this embodiment, the remote terminal 1, the configuration data management server 32, the BGW (1) 2 and the BGW (2) 31 are virtually placed in the same segment without performing address conversion processing on the BGW (2) 31. It is possible to connect.

本実施例では、コンフィグデータ管理サーバ31が、リモート端末1に対する閉域IP網LAN(B)300内のIPアドレスを管理し、払い出しているが、この機能を別ノード(アドレス管理サーバ)に担わせることも可能である。その場合、図2に示すa8,a9の取得メッセージは、VPNアドレス取得メッセージ用と、プライベートデータ(コンフィグデータ)取得用メッセージ用とに分けられ、それぞれアドレス管理サーバ、コンフィグデータ管理サーバ32とのメッセージ通信が行われる。   In this embodiment, the configuration data management server 31 manages and pays out the IP address in the closed IP network LAN (B) 300 for the remote terminal 1, but this function is assigned to another node (address management server). It is also possible. In this case, the acquisition messages of a8 and a9 shown in FIG. 2 are divided into a VPN address acquisition message and a private data (configuration data) acquisition message, and messages to the address management server and the configuration data management server 32, respectively. Communication takes place.

本発明の一実施例によるVPNシステムの構成を示すブロック図である。It is a block diagram which shows the structure of the VPN system by one Example of this invention. 本発明の一実施例によるVPNシステムの動作を示すシーケンスチャートである。It is a sequence chart which shows the operation | movement of the VPN system by one Example of this invention. (a)はISAKMPコンフィギュレーションメソッドで用いるISAKMPパケットのデータフォーマットを示す図、(b)はコンフィグレーションメソッド・ペイロードのフォーマットを示す図、(c)はAttributsのフォーマットを示す図である。(A) is a figure which shows the data format of the ISAKMP packet used with an ISAKMP configuration method, (b) is a figure which shows the format of a configuration method payload, (c) is a figure which shows the format of Attributes. 本発明の一実施例による具体的なIPアドレスを付与したシステム構成を示す図である。It is a figure which shows the system configuration | structure which provided the specific IP address by one Example of this invention. 図4のリモート端末とBGW(2)31とに設定を要するパラメータを示す図である。It is a figure which shows the parameter which needs a setting in the remote terminal of FIG. 4, and BGW (2) 31.

符号の説明Explanation of symbols

1 リモート端末
2 BGW(1)
3 センタ管理局
31 BGW(2)
32 コンフィグデータ管理サーバ
100 ローカルIP網LAN(A)
101 IP公衆網
102 IPトンネル
300 閉域IP網LAN(B)
1 Remote terminal 2 BGW (1)
3 Center management station 31 BGW (2)
32 Config Data Management Server 100 Local IP Network LAN (A)
101 IP public network 102 IP tunnel 300 Closed IP network LAN (B)

Claims (15)

IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)を用いるVPNシステムであって、
リモート端末がリモートアクセス先の閉域IP(Internet Protocol)網内のノードと通信を行う際に前記閉域IP網内の境界ゲートウェイとの間で前記リモートアクセスIPsecVPN接続を行う手段を前記リモート端末に有し、前記リモート端末と前記閉域IP網内のノードとが仮想的に同じセグメント内に接続することを特徴するVPNシステム。 A VPN system using a remote access IPsec VPN (Virtual Private Network) in which an ESP (Encapsulating Security Payload) tunnel technology of IPsec (IP security protocol) is applied to an IP (Internet Protocol) tunnel technology.
The remote terminal has means for performing the remote access IPsec VPN connection with a border gateway in the closed IP network when the remote terminal communicates with a node in a remote access destination closed IP (Internet Protocol) network The VPN system characterized in that the remote terminal and a node in the closed IP network are virtually connected in the same segment. 前記リモート端末が前記閉域IP網内の境界ゲートウェイと前記リモートアクセスIPsecVPN接続する際、IKE(Internet Key Exchange)通信時に、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションの認証通信にて前記リモート端末上のユーザを特定し、対応する前記閉域IP網内のIPアドレスを前記閉域IP網内のノードから取得し、前記ISAKMPコンフィグレーションのVPNアドレス払い出しにおいて前記VPNアドレスに前記閉域IP網内のIPアドレスを割当てることで前記閉域IP網内からの前記IPアドレスの払い出しを行うことを特徴とする請求項1記載のVPNシステム。   When the remote terminal is connected to the border gateway in the closed IP network and the remote access IPsec VPN, at the time of IKE (Internet Key Exchange) communication, the authentication communication of the remote terminal by ISAKMP (Internet Security Association & Key Management Protocol) configuration The above user is identified, the corresponding IP address in the closed IP network is obtained from the node in the closed IP network, and the VPN address is issued in the ISAKMP configuration to the VPN address as the IP address in the closed IP network 2. The VPN system according to claim 1, wherein the IP address is paid out from within the closed IP network by assigning an IP address. 前記閉域IP網内のノードは、前記対応する閉域IP網内のIPアドレスを保持するアドレス管理サーバであることを特徴とする請求項2記載のVPNシステム。   The VPN system according to claim 2, wherein the node in the closed IP network is an address management server that holds an IP address in the corresponding closed IP network. 前記リモート端末が前記閉域IP網内の境界ゲートウェイと前記リモートアクセスIPsecVPN接続する際、IKE(Internet Key Exchange)通信時に、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションの認証通信にて前記リモート端末上のユーザを特定し、対応するコンフィグデータを前記閉域IP網内のノードから取得し、前記ISAKMPコンフィグレーションのメッセージに前記コンフィグデータを統合して前記閉域IP網内からの前記リモート端末のコンフィグデータの払い出しを行うことを特徴とする請求項1から請求項3のいずれか記載のVPNシステム。   When the remote terminal is connected to the border gateway in the closed IP network and the remote access IPsec VPN, at the time of IKE (Internet Key Exchange) communication, the authentication communication of the remote terminal by ISAKMP (Internet Security Association & Key Management Protocol) configuration The above user is identified, the corresponding configuration data is obtained from the node in the closed IP network, the configuration data is integrated into the ISAKMP configuration message, and the configuration data of the remote terminal from within the closed IP network The VPN system according to any one of claims 1 to 3, wherein the payout is performed. 前記閉域IP網内のノードは、前記対応するコンフィグデータを保持するコンフィグデータ管理サーバであることを請求項4記載のVPNシステム。   5. The VPN system according to claim 4, wherein the node in the closed IP network is a configuration data management server that holds the corresponding configuration data. IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)を用いるVPNシステムを構成するリモート端末であって、
リモートアクセス先の閉域IP(Internet Protocol)網内のノードと通信を行う際に前記閉域IP網内の境界ゲートウェイとの間で前記リモートアクセスIPsecVPN接続を行う手段を有し、前記閉域IP網内のノードと仮想的に同じセグメント内に接続することを特徴するリモート端末。 A remote terminal that constitutes a VPN system that uses a remote access IPsec VPN (Virtual Private Network) in which an ESP (Encapsulating Security Payload) tunnel technology of IPsec (IP security protocol) is applied to an IP (Internet Protocol) tunnel technology
Means for performing the remote access IPsec VPN connection with a boundary gateway in the closed IP network when communicating with a node in a closed IP (Internet Protocol) network of a remote access destination; A remote terminal characterized by being connected in the same virtual segment as a node. 前記閉域IP網内の境界ゲートウェイと前記リモートアクセスIPsecVPN接続する際、IKE(Internet Key Exchange)通信時に、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションの認証通信にて端末上のユーザを特定し、対応する前記閉域IP網内のIPアドレスを前記閉域IP網内のノードから取得し、前記ISAKMPコンフィグレーションのVPNアドレス払い出しにおいて前記VPNアドレスに前記閉域IP網内のIPアドレスを割当てることで前記閉域IP網内からの前記IPアドレスの払い出しを行うことを特徴とする請求項6記載のリモート端末。   When connecting to the border gateway in the closed IP network and the remote access IPsec VPN, the user on the terminal is identified by ISAKMP (Internet Security Association & Key Management Protocol) configuration authentication communication during IKE (Internet Key Exchange) communication. Obtaining a corresponding IP address in the closed IP network from a node in the closed IP network, and assigning an IP address in the closed IP network to the VPN address in a VPN address issue of the ISAKMP configuration. 7. The remote terminal according to claim 6, wherein the IP address is issued from an IP network. 前記閉域IP網内のノードが、前記対応する閉域IP網内のIPアドレスを保持するアドレス管理サーバであることを特徴とする請求項7記載のリモート端末。   8. The remote terminal according to claim 7, wherein the node in the closed IP network is an address management server that holds an IP address in the corresponding closed IP network. 前記閉域IP網内の境界ゲートウェイと前記リモートアクセスIPsecVPN接続する際、IKE(Internet Key Exchange)通信時に、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションの認証通信にて端末上のユーザを特定し、対応するコンフィグデータを前記閉域IP網内のノードから取得し、前記ISAKMPコンフィグレーションのメッセージに前記コンフィグデータを統合して前記閉域IP網内からのコンフィグデータの払い出しを行うことを特徴とする請求項6から請求項8のいずれか記載のリモート端末。   When connecting to the border gateway in the closed IP network and the remote access IPsec VPN, the user on the terminal is identified by ISAKMP (Internet Security Association & Key Management Protocol) configuration authentication communication during IKE (Internet Key Exchange) communication. Corresponding configuration data is obtained from a node in the closed IP network, and the configuration data is issued from the closed IP network by integrating the configuration data into the ISAKMP configuration message. The remote terminal according to claim 6. 前記閉域IP網内のノードが、前記対応するコンフィグデータを保持するコンフィグデータ管理サーバであることを請求項9記載のリモート端末。   The remote terminal according to claim 9, wherein the node in the closed IP network is a configuration data management server that holds the corresponding configuration data. IP(Internet Protocol)トンネル技術にIPsec(IP security protocol)のESP(Encapsulating Security Payload)トンネル技術を適用したリモートアクセスIPsecVPN(Virtual Private Network)を用いるVPNシステムに用いるリモートアクセス通信方法であって、
リモート端末側に、前記リモート端末がリモートアクセス先の閉域IP(Internet Protocol)網内のノードと通信を行う際に前記閉域IP網内の境界ゲートウェイとの間で前記リモートアクセスIPsecVPN接続を行う処理を有し、前記リモート端末と前記閉域IP網内のノードとが仮想的に同じセグメント内に接続することを特徴するリモートアクセス通信方法。 A remote access communication method using a remote access IPsec VPN (Virtual Private Network) in which an ESP (Encapsulating Security Payload) tunnel technology of IPsec (IP security protocol) is applied to an IP (Internet Protocol) tunnel technology.
When the remote terminal communicates with a node in a closed IP (Internet Protocol) network as a remote access destination on the remote terminal side, processing for performing the remote access IPsec VPN connection with a boundary gateway in the closed IP network A remote access communication method characterized in that the remote terminal and a node in the closed IP network are virtually connected in the same segment. 前記リモート端末が前記閉域IP網内の境界ゲートウェイと前記リモートアクセスIPsecVPN接続する際、IKE(Internet Key Exchange)通信時に、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションの認証通信にて前記リモート端末上のユーザを特定し、対応する前記閉域IP網内のIPアドレスを前記閉域IP網内のノードから取得し、前記ISAKMPコンフィグレーションのVPNアドレス払い出しにおいて前記VPNアドレスに前記閉域IP網内のIPアドレスを割当てることで前記閉域IP網内からの前記IPアドレスの払い出しを行うことを特徴とする請求項11記載のリモートアクセス通信方法。   When the remote terminal is connected to the border gateway in the closed IP network and the remote access IPsec VPN, at the time of IKE (Internet Key Exchange) communication, the authentication communication of the remote terminal by ISAKMP (Internet Security Association & Key Management Protocol) configuration The above user is identified, the corresponding IP address in the closed IP network is obtained from the node in the closed IP network, and the VPN address is issued in the ISAKMP configuration to the VPN address as the IP address in the closed IP network 12. The remote access according to claim 11, wherein the IP address is issued from within the closed IP network by assigning an IP address. Communication method. 前記閉域IP網内のノードが、前記対応する閉域IP網内のIPアドレスを保持するアドレス管理サーバであることを特徴とする請求項12記載のリモートアクセス通信方法。   13. The remote access communication method according to claim 12, wherein the node in the closed IP network is an address management server that holds an IP address in the corresponding closed IP network. 前記リモート端末が前記閉域IP網内の境界ゲートウェイと前記リモートアクセスIPsecVPN接続する際、IKE(Internet Key Exchange)通信時に、ISAKMP(Internet Security Association & Key Management Protocol)コンフィグレーションの認証通信にて前記リモート端末上のユーザを特定し、対応するコンフィグデータを前記閉域IP網内のノードから取得し、前記ISAKMPコンフィグレーションのメッセージに前記コンフィグデータを統合して前記閉域IP網内からの前記リモート端末のコンフィグデータの払い出しを行うことを特徴とする請求項11から請求項13のいずれか記載のリモートアクセス通信方法。   When the remote terminal is connected to the border gateway in the closed IP network and the remote access IPsec VPN, at the time of IKE (Internet Key Exchange) communication, the authentication communication of the remote terminal by ISAKMP (Internet Security Association & Key Management Protocol) configuration The above user is identified, the corresponding configuration data is obtained from the node in the closed IP network, the configuration data is integrated into the ISAKMP configuration message, and the configuration data of the remote terminal from within the closed IP network 14. The remote access communication method according to claim 11, wherein payout is performed. 前記閉域IP網内のノードが、前記対応するコンフィグデータを保持するコンフィグデータ管理サーバであることを請求項14記載のリモートアクセス通信方法。
15. The remote access communication method according to claim 14, wherein the node in the closed IP network is a configuration data management server that holds the corresponding configuration data.
JP2004155542A 2004-05-26 2004-05-26 Vpn system, remote terminal, and remote access communication method used for vpn system and remote terminal Pending JP2005341084A (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2004155542A JP2005341084A (en) 2004-05-26 2004-05-26 Vpn system, remote terminal, and remote access communication method used for vpn system and remote terminal
GB0510386A GB2414642A (en) 2004-05-26 2005-05-20 Virtual Private Network (VPN) using IP Security Protocol (IPsec)
US11/136,380 US20050265366A1 (en) 2004-05-26 2005-05-25 Virtual private network system, communication terminal, and remote access communication method therefor
CNA2005100720427A CN1703047A (en) 2004-05-26 2005-05-26 Virtual private network system, communication terminal, and remote access communication method therefore

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004155542A JP2005341084A (en) 2004-05-26 2004-05-26 Vpn system, remote terminal, and remote access communication method used for vpn system and remote terminal

Publications (1)

Publication Number Publication Date
JP2005341084A true JP2005341084A (en) 2005-12-08

Family

ID=34836623

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004155542A Pending JP2005341084A (en) 2004-05-26 2004-05-26 Vpn system, remote terminal, and remote access communication method used for vpn system and remote terminal

Country Status (4)

Country Link
US (1) US20050265366A1 (en)
JP (1) JP2005341084A (en)
CN (1) CN1703047A (en)
GB (1) GB2414642A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007228294A (en) * 2006-02-23 2007-09-06 Hitachi Ltd Information processing system
JP2012528492A (en) * 2009-05-27 2012-11-12 ▲ホア▼▲ウェイ▼技術有限公司 Method, apparatus and system for mobile virtual private network communication

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007533133A (en) * 2004-04-07 2007-11-15 ティンギ テクノロジーズ プライベート リミテッド Fabrication of reflective layer on semiconductor light emitting diode
WO2009117844A1 (en) * 2008-03-25 2009-10-01 Alcatel Shanghai Bell Co., Ltd. Methods and entities using ipsec esp to support security functionality for udp-based oma enablers
CN101304388B (en) * 2008-06-20 2010-08-04 成都市华为赛门铁克科技有限公司 Method, apparatus and system for settling IP address conflict
WO2011054145A1 (en) * 2009-11-05 2011-05-12 华为技术有限公司 Method, system and equipment for notifying internet protocol address
DE102010000824A1 (en) 2010-01-12 2011-07-14 Siemens Aktiengesellschaft, 80333 System for the implementation of remote services for a technical installation
DE102010000849A1 (en) 2010-01-13 2011-07-14 Siemens Aktiengesellschaft, 80333 Method for operating, monitoring and / or configuring an automation system of a technical installation
US8397288B2 (en) 2010-08-25 2013-03-12 Itron, Inc. System and method for operation of open connections for secure network communications
US9288215B2 (en) 2013-03-08 2016-03-15 Itron, Inc. Utilizing routing for secure transactions
US10506082B2 (en) * 2017-03-09 2019-12-10 Fortinet, Inc. High availability (HA) internet protocol security (IPSEC) virtual private network (VPN) client

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001160828A (en) * 1999-12-03 2001-06-12 Matsushita Electric Ind Co Ltd VPN communication method in security gateway device
KR100847596B1 (en) * 2000-03-02 2008-07-21 소니 가부시끼 가이샤 Network system, gateway, data communication method and program providing medium
JP3616570B2 (en) * 2001-01-04 2005-02-02 日本電気株式会社 Internet relay connection method
US20030005328A1 (en) * 2001-06-29 2003-01-02 Karanvir Grewal Dynamic configuration of IPSec tunnels
US7284042B2 (en) * 2001-08-14 2007-10-16 Endforce, Inc. Device plug-in system for configuring network device over a public network
US7197550B2 (en) * 2001-08-23 2007-03-27 The Directv Group, Inc. Automated configuration of a virtual private network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007228294A (en) * 2006-02-23 2007-09-06 Hitachi Ltd Information processing system
JP2012528492A (en) * 2009-05-27 2012-11-12 ▲ホア▼▲ウェイ▼技術有限公司 Method, apparatus and system for mobile virtual private network communication
US9084108B2 (en) 2009-05-27 2015-07-14 Huawei Technologies Co., Ltd. Method, apparatus, and system for mobile virtual private network communication

Also Published As

Publication number Publication date
US20050265366A1 (en) 2005-12-01
CN1703047A (en) 2005-11-30
GB0510386D0 (en) 2005-06-29
GB2414642A (en) 2005-11-30

Similar Documents

Publication Publication Date Title
CN113950816B (en) System and method for providing a multi-cloud micro-service gateway using a side car agency
JP5788945B2 (en) Provide access to a configurable private computer network
JP5318111B2 (en) Various methods and apparatus for a central management station for automatically distributing configuration information to remote devices
CN104243210B (en) The method and system of remote access router administration page
CN101501663B (en) A method for securely deploying network equipment
JP4146886B2 (en) Communication module and application program including this communication module
JP2001160828A (en) VPN communication method in security gateway device
US9143480B2 (en) Encrypted VPN connection
CN102136938B (en) Method and device for providing user information for carried grade network address translation (CGN) equipment
KR20100017652A (en) Managing network components using usb keys
CN106169952B (en) A kind of authentication method that internet Key Management Protocol is negotiated again and device
JP2005341084A (en) Vpn system, remote terminal, and remote access communication method used for vpn system and remote terminal
CN104601743A (en) IP (internet protocol) forwarding IPoE (IP over Ethernet) dual-stack user access control method and equipment based on Ethernet
AU2013300091B2 (en) Method and apparatus for using rendezvous server to make connections to fire alarm panels
WO2018039901A1 (en) Method, device and system for ip address allocation, and computer program product
US11888898B2 (en) Network configuration security using encrypted transport
JP2005269348A (en) Communication system, and gateway unit
CN102158567B (en) Equipment configuration method, strategic server and network address translation apparatus
WO2021259110A1 (en) Method for configuration and management of map-e tunnel, apparatus, server and storage medium
JP5874354B2 (en) Relay server and relay communication system
CN105516121B (en) The method and system that AC is communicated with AP in WLAN
JP2003333066A (en) Communication system using network interface having IP network connection function and apparatus therefor
US7660900B2 (en) System and method for connecting client to host
CN109041275A (en) Data transmission method, device and wireless access point
JP3636095B2 (en) VPN connection security

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070213

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070409

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070821

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070920

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20070920

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071022

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20071204

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20080111

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20080604

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20090508